[发明专利]恶意软件的检测方法、装置及设备

说明书

本申请公开了一种恶意软件的检测方法、装置及设备，涉及网络安全技术领域，能够针对恶意软件进行细粒度的查杀，无需将专用查杀代码移植、集成到终端杀毒软件中，保证操作系统的稳定性。其中方法包括：将恶意软件的对抗动作抽象处理为原子操作集合，并封装至驱动模块，原子操作集合包括针对恶意软件清除过程中所有原子操作；响应于恶意软件的扫描结果，接收云服务端派发的对抗触发规则，对抗触发规则为根据恶意软件特征所设置原子操作的触发条件；通过解析对抗触发规则，按照脚本文件指导驱动模块查询出原子操作集合中目标原子操作；利用目标原子操作定位到恶意软件的位置信息，并根据位置信息清除所述恶意软件执行的恶意代码。

技术领域

本申请涉及网络安全技术领域，尤其是涉及到一种恶意软件的检测方法、装置及设备。

背景技术

近年来，随着互联网技术的不断发展，以窃取计算机控制和敏感信息为目标的程序迅速增加，特别是近些年来针对Linux系统的各种恶意软件在不断地更新。

现有的计算机操作系统在权限划分时使用“高权限”和“低权限”两个概念来区分不同的系统权限等级。Ring0表示高权限(系统权限)，Ring3表示低权限(用户权限)，一般来说，客户端针对恶意软件的查杀引擎以及恶意行为拦截模块等工作均在高权限状态，这些模块通常以第三方驱动或内核扩展形态呈现。随着攻防技术的发展，如果计算机病毒或恶意软件携带了驱动级组件，则说明出现了高级恶意软件，Rootkit作为高级恶意软件中的一种，在攻击系统的过程中，通常与反病毒软件具有相同的系统权限和操作能力，一方面可以使用访问重定向等手段干扰、阻断扫描过程，使得反病毒软件无法准确鉴别出Rootkit的存在，另一方面可以使用回写回复、访问拒绝等手段干扰、阻断清除过程，使得反病毒软件无法删除已发现的Rootkit。

鉴于Rootkit的独特性，针对代码处理基本都是逐个执行，相关技术中可以使用专用查杀工具来处理，而专用查杀工具需要足够专业知识去指导对抗Rootkit，大部分用户不具备Rootkit行为判定和恶意软件家族鉴别等专业能力，很难准确检测到Rootkit。为了进一步检测Rootkit，可将Rootkit的专用查杀代码移植、集成到终端杀毒软件中，但是如果在终端杀毒软件中为大量用户开启Rootkit对抗功能，针对高权限代码的任何错误都导致操作系统的崩溃，极大增强了操作系统的不稳定性。

发明内容

有鉴于此，本申请提供了一种恶意软件的检测方法、装置及设备，主要目的在于解决现有技术恶意软件的检测过程中大量用户开启Rootkit对抗功能会导致操作系统不稳定的问题。

根据本申请的第一个方面，提供了一种恶意软件的检测方法，应用于客户端，该方法包括：

将恶意软件的对抗动作抽象处理为原子操作集合，并封装至驱动模块，所述原子操作集合包括针对恶意软件清除过程中所有原子操作；

响应于恶意软件的扫描结果，接收云服务端派发的对抗触发规则，所述对抗触发规则为根据恶意软件特征所设置原子操作的触发条件，所述对抗触发规则以脚本文件形式描述；

通过解析所述对抗触发规则，按照所述脚本文件指导所述驱动模块查询出所述原子操作集合中目标原子操作；

利用所述目标原子操作定位到恶意软件的位置信息，并根据所述位置信息清除所述恶意软件执行的恶意代码。

进一步地，在所述响应于恶意软件的扫描结果，接收云服务端派发的对抗触发规则之前，所述方法还包括：

按照预设周期扫描恶意软件，将所述扫描结果发送至云服务端，以使得云服务端根据所述扫描结果确定恶意软件的执行级别，并派发符合执行级别的对抗触发规则；

所述响应于恶意软件的扫描结果，接收云服务端派发符合执行级别的对抗触发规则，具体包括：

响应于恶意软件的扫描结果，接收云服务端派发符合执行级别的对抗触发规则。